Пользователь Facebook Павел Медведев, который является СЕО-специалистом по работе с поисковыми системами, обнаружил в поисковой выдаче конфиденциальные данные россиян.
ВТБ, «Сбербанк», РЖД, «Аэрофлот», департамент транспорта Москвы и интернет-магазины допустили утечку личных данных своих клиентов. Среди них оказались сканы паспортов, водительских удостоверений, ФИО, адреса, номера телефонов и другая информация. Причиной утечки специалисты называют баг в движке Webasyst ShopScript3, который известен еще с 2011 года, а также халатность администраторов, не закрывших от индексации поисковиками конфиденциальные части сайтов.
Специалисты отмечают, что поисковые роботы не знают, какие данные хранятся в файле, – конфиденциальные или общедоступные. Они переходят по тем страницам, к которым открыт доступ владельцами сайта. Поэтому администраторам важно обеспечить должное качество разработки, оптимизации и защиты своих сайтов, запретить роботам индексировать любые конфиденциальные данные, используя такие методы защиты, как, например, robots.txt, clean-param, meta-noindex. Следует помнить, что любая страница, которая доступна без авторизации, в любое время может быть проиндексирована.
Недавно похожая ситуация произошла с приватными документами из Google Docs, на время появившимися в поисковой выдаче. Как пояснил Павел Медведев, всегда можно было получить личные данные и пароли пользователей: они индексировались, но в меньших масштабах. То, что произошло с сервисом, связано с ростом его популярности не только среди специалистов, но и обычных пользователей.
Сейчас пользователи никак не могут повлиять на случившееся – нужно ждать обновления систем безопасности сайтов.
Известно, что представители «Сбербанка» отреагировали на новость об утечке, сообщив, что «данных, которые могут нанести ущерб банку или клиентам, здесь нет», но пообещали подробнее разобраться в причинах инцидента.